Migration In Cloud First. Security Later?

von Security-First Approach

Die Migration in die Cloud ist vielschichtig und für alle Unternehmen ein grosses Projekt mit reichlich Risiken. Das ist so, und deshalb sind alle Versuche, die Komplexität, welche die neuen cloudbasierten Umgebungen mit sich bringen, zu reduzieren, mehr als verständlich. Leider leidet darunter dann häufig die IT-Sicherheit, auf deren Kosten eine übereilte Migration in die Cloud realisiert wird.

Zuerst die IT-Lösung, dann die IT-Sicherheit – provisorisch und/oder etappenweise ausgebaut

Dieser auf einer «Pflästerlipolitk» oft unter Umgehung von Compliance-Regeln und -Richtlinien basierende Ansatz, wie oft jahrelang bei On-Premises-Lösungen praktiziert, funktioniert bei der Migration in die Cloud nicht. Das hat mehrere Gründe:

  1. Schon bei On-Premises-Lösungen war und ist ein «Pflästerli-Ansatz» bei der IT-Sicherheit nicht statthaft und – im schlimmsten Fall – als Reaktion auf einen Security-Vorfall nicht schön und eigentlich peinlich, weil zu spät.
  1. In der Cloud unterscheiden sich die Massnahmen im Bereich der IT-Sicherheit stark von denjenigen in On-Premises-Umgebungen. Security-Massnahmen in On-Premises-Umgebungen drehen sich primär um das Thema Identity und Access Management. Diese Massnahmen sind in der Cloud weniger wirksam, weil die unterliegende Plattform vom Cloud Provider vollständig kontrolliert wird.
  1. Einer der grossen Nachteile der Cloud: die Kontrolle der eigenen Daten ist eingeschränkt. Sind ungesicherte Daten einmal in der Cloud abgelegt, wirken sich nachträgliche Security-Massnahmen zum Schutz der in der Cloud abgelegten Daten nur ex ante aus, d.h. es wird maximal die aktuelle Datensicht geschützt. Backups, Kopien etc. werden nicht geschützt. Ebenso wenig wirkt sich der Schutz auf Daten aus, welche bereits vom Cloud Provider geteilt wurden.

Bei der Migration in die Cloud, hat die IT-Sicherheit an erster Stelle zu stehen.

Cybersecurity künftig immer an die erste Stelle setzen

Der «Migration-First – Security-Later Approach» funktioniert deshalb in der Regel mehr schlecht als recht. Die Entscheider sind gehalten, abzuwägen, ob die vermeintliche Vereinfachung eines Cloud-Migration-Projektes die nachträgliche «Aufräumarbeit» aufwiegt oder allfällige Incompliance in Kauf genommen werden kann.

In der Cloud gilt, was nicht explizit geschützt ist, ist weg, geht potentiell «verloren» – mindestens an den Provider, wahrscheinlich auch an dessen Partner, ja nach Geografie evtl. auch an die Vorratsspeicherung des Landes und im übelsten Fall an die Cybercrime Community.

Aus unserer Erfahrung muss klar gesagt werden, dass nachträglicher Schutz in der Regel anfällig bleibt, weil ein Flickenteppich an Security-Massnahmen immer Lücken aufweisen wird. Unternehmen stellen sich so darauf ein, mit einem vermeintlich konformen IT-Security-Providurium zu leben. Niemand will es dann im Schadenfall gewesen sein, und das Top-Management ist sich den effektiven Risiken meist nicht bewusst.

Wir postulieren den Security-First Approach to Cloud. Wie das geht, auf welche Aspekte geachtet werden muss, welche Lösungen hierfür bereitstehen, darüber informieren wir Sie gerne persönlich. Nehmen Sie mit uns Kontakt auf.

Wünschen Sie mehr Informationen zum Thema?

Registrieren Sie sich

Erfahren Sie mehr zu Trends. Nach der Registration stehen Ihnen auf unseren Trend Sites Factsheets und weitere Fachartikel zum Download zur Verfügung.

Kontaktieren Sie uns. Wir beraten Sie gerne

Für Ihre Fragen rund um das Trend-Thema stehen Ihnen unsere Experten gerne zur Verfügung.

 

E-Mail(erforderlich)